Como Bloquear acesso de clientes a outros clientes na rede Cabeada c/ MK

**letec2000** · 03-04-2008, 15:13

Pessoal estive hoje grande parte do dia em busca de um tuto (em topico) que me ajudasse a bloquear (isolar) cada usuario da minha rede Cabeada s/ wireless com o router MK 2.9.27.

possuo um link pppoe bridge velox em uma placa entrando no MK, e dele outra placa saindo p/ os clientes.

Meus clientes estao se vendo na rede e vendo impressoras tb compartilhando arquivos na rede, etc.

Esses clientes sao configurados para ter acesso atraves da permissao de MAC e Ip Stático. todos atualmente estao na Rede 192.168.1.0/24

Como posso configurar meu MK para Bloquear cada usuario e deixa-lo somente com o acesso a internet, sem enxergar nenhuma maquina na rede ???

Pesso um tutozinho Por Favor.

Desde já Obrigado a todo que derem atenção.

**lucianogf** · 03-04-2008, 21:57

Rede cabeada?

Primeiro passo: precisa de um switch gerenciável com suporte a VLAN.
Segundo: com o switch configurado de forma que cada porta tenha acesso apenas a porta do gw você configura regras de firewall para bloquear o tráfego no mikrotik, pois dessa forma todos os pacotes precisam passar por ele pra chegar a qualquer outro lugar.

**letec2000** · 03-04-2008, 22:28

entendi, mas nao existe outra forma ?? meus switches nao sao gerenciaveis. sao genericos. existe alguma forma no MK ?

**lucianogf** · 04-04-2008, 01:22

não!

se você usar PPPoE, dois clientes podem configurar IPs em suas placas de rede e continuam trafegando normalmente.

se usar DHCP a mesma coisa.

o gerenciamento precisa ser no primeiro nó onde os clientes estão conectados, que neste caso é o switch.

quando é usado o mikrotik como AP ele fica sendo o primeiro nó, aí sim você consegue gerenciar os pacotes somente pelo mikrotik.

mas na sua situação? sem chance!

**cleciorodrigo** · 04-04-2008, 07:54

Use DHCP com mascara /32 ou seja 255.255.255.255, e pro cliente ter acesso a internet use PPPoE

Falow

**minelli** · 04-04-2008, 07:55

Olá colega bom dia, tenta essa regra ai ve se te ajuda:

/IP FIREWALL FILTER

Código :

add chain=foward protocol=tcp dst-port=135-139 action=drop comment="Bloqueio Rede Interna - TCP" disabled=yes 
add chain=foward protocol=udp dst-port=135-139 action=drop comment="Bloqueio Rede Interna - UDP" disabled=yes

Bom ai está a regra coloque-a no topo do Firewall Filter e testa se funcionar retorne ao forum diga que funcionou para o pessoal que precisar saber e agradeça por favor.

**watesnake** · 04-04-2008, 09:38

coloca um firewall com todos os ips cadstrados na queue ai vc pode desabilitar o ip pelo firewall bloqueando a conexão do cliente

**letec2000** · 04-04-2008, 10:15

Postado originalmente por minelli

Olá colega bom dia, tenta essa regra ai ve se te ajuda:

/IP FIREWALL FILTER

Código :

add chain=foward protocol=tcp dst-port=135-139 action=drop comment="Bloqueio Rede Interna - TCP" disabled=yes 
add chain=foward protocol=udp dst-port=135-139 action=drop comment="Bloqueio Rede Interna - UDP" disabled=yes

Bom ai está a regra coloque-a no topo do Firewall Filter e testa se funcionar retorne ao forum diga que funcionou para o pessoal que precisar saber e agradeça por favor.

ok, vou testar.

**lfaria** · 04-04-2008, 18:36

Postado originalmente por letec2000

Pessoal estive hoje grande parte do dia em busca de um tuto (em topico) que me ajudasse a bloquear (isolar) cada usuario da minha rede Cabeada s/ wireless com o router MK 2.9.27.
Meus clientes estao se vendo na rede e vendo impressoras tb compartilhando arquivos na rede, etc.
Esses clientes sao configurados para ter acesso atraves da permissao de MAC e Ip Stático. todos atualmente estao na Rede 192.168.1.0/24
Como posso configurar meu MK para Bloquear cada usuario e deixa-lo somente com o acesso a internet, sem enxergar nenhuma maquina na rede ???

O primeiro passo é colocar cada cliente numa rede separada, através do IP e mascara de subrede.

Bloquear o acesso a rede no firewall. (Não me lembro a porta mas já falaram numa resposta, foi o minelli)

Eles não terão acesso via teu Mk.

Nada impede, se for por cabo, que os clientes no mesmo switch combinem e criem sua própria rede.

Mas eu notei que o windows tem alguma dificuldade de configuração de dois IP na mesma interface de rede, quando um dos IP é via DHCP.

O pessoal pode ajudar na análise, mas esses passos já dificultam bastante,

**lucianogf** · 04-04-2008, 20:25

Pessoal, tapar sol com peneira não adianta!

Se chegar alguém dizendo que tem uma lâmpada queimada vão responder oq? (Não respondam aqui, apenas pensem!!!)

Numa rede cabeada, para gerenciar o tráfego entre clientes somente com switch gerenciável!

É possível "tentar" gerenciar este tráfego com algumas maneiras, mas como disse, se pega alguém com um minimo de conhecimento já era!!!

**206source** · 04-04-2008, 21:59

bom carinha, entendo pouco, mas sei que swich gerenciavel nao e barato, entao experimenta colocar ap em bright e usar um servidozinho linux com algumas regrinhas de iptables acho q da certo...

**Shturbo Internet** · 04-04-2008, 23:26

Boa noite brow.. é so seguinte um swithc gerencial relamente num é barata mais vc montar um pc com mk e configurar tambem num sair barato sai qse um pelo outro.. mais uma mk bem configurada com nat ou bridg acaba se tornando um switch gerenciavel.. tem como vc falzer ela alem de controlar a banda com trambem bloq o uso inadequado da sua da sua rede.. existem varia topico e dica aqui mesmo nesse post ensinando a fazer... basta vc bloq o trafego da portas netbius e netbios , configurar o dhcp da mk para dhcp a classe 32.. como ja disse o amigo neste post.. entre outras coisitas...

**lfaria** · 05-04-2008, 11:51

Postado originalmente por lucianogf

Pessoal, tapar sol com peneira não adianta!
É possível "tentar" gerenciar este tráfego com algumas maneiras, mas como disse, se pega alguém com um minimo de conhecimento já era!!!

Com certeza, mas já reduz seu risco a um universo bem menor.

Eu considero um esquema 90% seguro melhor que um o% seguro.

**lucianogf** · 05-04-2008, 13:01

Postado originalmente por lfaria

Com certeza, mas já reduz seu risco a um universo bem menor.

Eu considero um esquema 90% seguro melhor que um o% seguro.

sem dúvida...

como disse anteriormente, existem diversas formas de minimizar, mas a solução somente com o equipamento citado.

**minelli** · 06-04-2008, 23:32

Pessoal minha inteção não é criar confusão apenas tentar ajudar o pessoal do forum.

**lucianogf** · 07-04-2008, 00:11

Postado originalmente por minelli

Pessoal minha inteção não é criar confusão apenas tentar ajudar o pessoal do forum.

fique tranquilo, não há nenhuma confusão por aqui...

pelo menos por enquanto.. hehehe

**letec2000** · 07-04-2008, 11:21

Blz galera, estou revendo aki, as possiveis soluções, outras duvida posso barrar tb o ping peo DOS ? Como faço (config) para desabilitar NetBios no MK ? para todos os Clientes ?

**lfaria** · 07-04-2008, 12:40

Postado originalmente por minelli

Pessoal minha inteção não é criar confusão apenas tentar ajudar o pessoal do forum.

Fique calmo... :-)

O nível tá bom.

**minelli** · 08-04-2008, 13:04

Bloqueie como foward sua rede interna na porta 1 ICMP

**aka2005** · 14-04-2008, 19:14

Postado originalmente por minelli

Bloqueie como foward sua rede interna na porta 1 ICMP

ICMP??? bloqueando a porta 1, nao é so pra ARES ??

Como Bloquear acesso de clientes a outros clientes na rede Cabeada c/ MK

Ferramentas de Tópicos

Como Bloquear acesso de clientes a outros clientes na rede Cabeada c/ MK

Bloqueio rede interna

Bloqueio

Ping